La
notificazione dei trattamenti di dati personali
da parte degli Internet provider
Seconda parte -
05.03.98
(Prima
parte - Terza
parte - Quarta
parte: istruzioni per l'installazione e la compilazione
del modulo in formato digitale - Quinta parte: FAQ))
Lo scopo
immediato di questi articoli è fornire agli operatori di
Internet gli elementi più rilevanti per la notificazione
al Garante dei trattamenti di dati personali. Non ci
proponiamo quindi né un'analisi della normativa (alla
quale sono dedicati molti articoli elencati nell'indice di
questa sezione di
InterLex) né di dare indicazioni dettagliate sulla
compilazione del modulo, che deve essere vista caso per caso a
seconda delle attività e del tipo di trattamenti svolti
da ogni titolare.
Tuttavia un esame generale dei trattamenti connessi
all'attività di un Internet provider è utile non solo
per superare più facilmente l'incombenza della
notificazione, ma soprattutto per rivedere - quando è
necessario - l'intera organizzazione delle banche dati,
che dovrà seguire schemi precisi quando dovranno essere
adottate le misure minime di sicurezza stabilite dal
regolamento previsto dall'articolo 15, comma 2, della legge 675/96, regolamento
atteso ormai da un giorno all'altro.
Nella prima
parte abbiamo
classificato i soggetti interessati alla normativa sui
dati personali, esaminando le situazioni di titolare
o di incaricato del trattamento a
seconda del tipo di servizio prestato (fornitori di
accessi, di hosting o housing, di
contenuti e via discorrendo). Ora vediamo più in
dettaglio la situazioni dei fornitori di accessi (Internet
access provider), che sono quelli più interessati
all'applicazione della legge
675/96, in quanto titolari
di diversi tipi di trattamento.
Chiariamo subito che, anche se svolge più trattamenti,
il titolare è obbligato a presentare una sola
notificazione, dal momento che esso hanno
finalità correlate (articolo 7, comma 2), almeno nei
casi che prendiamo in esame in questa sede.
La
notificazione è valida a tempo indeterminato. Una nuova
notificazione è necessaria solo se cambia taluno degli
elementi elencati nel comma 4 dello stesso articolo 7, o
in caso di cessazione di un trattamento.
Un'altra indicazione importante: se un provider fornisce
l'accesso solo a persone giuridiche, aziende, enti o
associazioni, non deve presentare la
notificazione, beninteso se nelle banche dati
non sono presenti informazioni relative a persone fisiche
identificate o identificabili (eventualità peraltro
improbabile).
Gli
elenchi degli abbonati e delle password
Nel quadro
o) del modulo devono essere indicate le
"banche dati cui si riferisce il trattamento".
Vediamo dunque quali banche dati sono normalmente
presenti nei sistemi di un fornitore di accessi a
Internet. Per comodità di esposizione dobbiamo
distinguere tre categorie:
1. banche dati relative alle attività commerciali e
amministrative;
2. banche dati relative alle attività telematiche;
3. dati diffusi sulla Rete.
Rientrano nella prima categoria gli elenchi degli
abbonati (clienti) e dei fornitori, con finalità di
trattamento a scopi contabili e amministrativi, che
devono essere elencate nel quadro i.1),
con le modalità da indicare nel quadro i.2).
La notifica di questi elenchi non presenta problemi
particolari, in quanto si tratta di trattamenti del tutto
analoghi a quelli che avvengono in qualsiasi azienda,
insieme a quelli relativi al personale dipendente o ai
collaboratori, e in genere non sono nemmeno soggetti
all'obbligo della notificazione, a norma del comma 5-ter,
lettera e), sempre dell'articolo
7.
Tuttavia alcuni provider rendono pubblico l'elenco degli
abbonati, cioè compiono una diffusione di
dati personali, e per di più anche verso paesi non
appartenenti all'Unione europea, con tutti i problemi
creati dell'articolo 28 e dall'assenza della normativa
specifica per le attività telematiche. Quindi la
notificazione diventa obbligatoria.
Nota.
L'abbonato può chiedere di non essere inserito
nell'elenco diffuso sulla Rete o che alcuni suoi dati
siano omessi (articolo 11, comma 2); la materia è
regolata più in dettaglio anche dalla direttiva 97/66 CE, che dovrebbe essere recepita
con un futuro regolamento attuativo della legge
675/96. La direttiva contiene una serie di
prescrizioni molto dettagliate per la protezione
della riservatezza nei servizi di telecomunicazioni,
che per molti operatori comporteranno nuove procedure
per il trattamento dei dati relativi agli abbonati.
Vediamo ora
un elenco importante, quello delle password.
Dal punto di vista organizzativo è collegato a quello
degli abbonati, mentre per l'aspetto funzionale fa parte
delle procedure tecniche. A causa della sua delicatezza,
deve essere difeso con sistemi particolarmente sicuri,
anche per quanto riguarda la protezione dei dati
personali. Infatti se qualcuno riesce a impadronirsi di
una password altrui, non solo può commettere
diversi atti illeciti con qualche certezza di farla
franca, ma può andare a curiosare tra i dati personali
di altri utenti. In pratica la sicurezza dell'archivio
delle password è funzionale alla protezione di
moltissime altre informazioni presenti nel sistema.
L'esistenza di questo archivio deve essere notificata nel
quadro o), mentre le misure di sicurezza
vanno nel quadro d).
Qui si può verificare una situazione di incertezza,
perché il modulo richiede una "descrizione generale
delle misure adottate per la sicurezza dei dati",
mentre il regolamento in fase di pubblicazione dovrebbe
presentare un elenco molto preciso delle misure minime
relative ai diversi tipi di trattamento. Anche nel caso
in cui le procedure di sicurezza siano le più severe ed
efficaci, una semplice "descrizione generale"
potrebbe non essere sufficiente a indicare l'effettivo
livello di protezione delle informazioni. Con conseguenze
non trascurabili, visto che l'inosservanza delle norme di
sicurezza comporta di per sé sanzioni penali, anche se
non si verificano eventi dannosi (vedi Banche
dati, privacy e sicurezza: gli obblighi del gestore di Gianni Buonomo).
Gli archivi dei LOG
Col termine di LOG
si indicano convenzionalmente le registrazioni delle
attività che interessano un sistema informativo, che
vengono compiute con procedure automatiche e danno luogo
ad archivi che consentono la ricostruzione degli eventi
che hanno interessato il sistema stesso. Si tratta quindi
di basi di dati collegate alle procedure telematiche, il
cui trattamento si svolge per finalità correlate ai
trattamenti che abbiamo visto nel paragrafo precedente.
Come ben sa qualsiasi amministratore di sistema
(che in genere è opportuno sia qualificato come responsabile
del trattamento, quando non ci sia un soggetto
con la responsabilità specifica per i dati personali), i
LOG sono un elemento essenziale per la gestione
del sistema stesso e consentono di risolvere molti
problemi tecnici e organizzativi; purtroppo però
costituiscono altrettante dettagliate basi di dati
personali, perché offrono informazioni sulle attività
degli utenti e quindi ricadono in pieno nell'ambito della
legge 675/96.
Anche sulla tenuta di queste registrazioni ci sono
numerose prescrizioni nella direttiva 97/66/CE, che
saranno probabilmente recepite dal decreto legislativo
sulle protezione dei dati personali previsto dalla legge
676/96 e che dovrebbe essere emanato entro il prossimo
mese di ottobre. In attesa di queste disposizioni, spetta
al sysadmin stabilire quali informazioni debbano
essere raccolte
È compito del sysadmin
decidere quali informazioni debbano essere raccolte e in
che modo vadano archiviate e protette. L'utilizzo più
immediato dei LOG è per gli addebiti dei
collegamenti, quando sono praticate tariffe a tempo o è
previsto un tempo massimo giornaliero o mensile; si
possono generare LOG molto dettagliati o ridotti
all'essenziale, in genere è importante che contengano
dati utili non solo in caso di contestazioni con gli
abbonati, ma anche per risalire alle cause di operazioni
anomale o di malfunzionamenti.
Di conseguenza l'insieme minimo di dati da registrare -
oggetto, ancora, del quadro o) della
notifica - riguarda l'inizio e la fine di ogni
collegamento di ciascun abbonato. Ma i sysadmin
più attenti alla sicurezza del sistema spesso vorrebbero
tenere una traccia anche dei siti ai quali accedono gli
abbonati, il che comporta la registrazione di dati
personali che potrebbero anche appartenere alle categoria
dei dati sensibili (articolo 22 della legge 675/96). Infatti, nei casi di
accesso a numerose categorie di siti si raccolgono
"dati personali idonei a rivelare l'origine razziale
ed etnica, le convinzioni religiose, filosofiche o di
altro genere, le opinioni politiche, l'adesione a
partiti, sindacati, associazioni od organizzazioni a
carattere religioso, filosofico, politi o
sindacale", con la conseguente necessità di
ottenere l'autorizzazione del Garante e il consenso
scritto degli interessati.
Dunque è bene astenersi
dal registrare questi dati, tranne che nei casi in cui le
informazioni siano necessarie per ricostruire le
modalità di sospetti atti illeciti. Su questo punto
dovrà intervenire il previsto decreto legislativo sulla
tutela dei dati nelle attività telematiche e anche il
codice deontologico previsto dal comma 4 dello stesso
articolo 22.
Si deve sempre tener presente che dal punto di vista
della protezione dei dati personali l'archivio dei LOG
è delicato quanto quello delle password,
perché può contenere informazioni molto riservate: i
tempi di collegamento di ciascun utente, a quali ore si
collega, quali siti visita più di frequente, quali
prodotti acquista e via discorrendo. Un log molto
dettagliato premette di costruire un profilo
dell'abbonato che può essere utilissimo per le
promozioni commerciali, e anche per diffamazioni,
ricatti, estorsioni e altre poco nobili attività.
I dati diffusi su
Internet
Arriviamo a questo punto
alla terza categoria di trattamenti, relativa ai dati
diffusi sulla Rete, cioè alle informazioni personali
inserite nelle pagine Web o in altri spazi visibili da
terzi, come i newsgroup. Si potrebbe discutere
se l'inserimento di dati personali in gruppi
"chiusi", cioè non accessibili da chiunque,
debba essere considerato comunicazione o
diffusione, ai sensi delle lettere g) e
h) del secondo comma dell'articolo
2. La seconda
ipotesi (diffusione) sembra più aderente alla realtà,
anche perché al momento dell'invio del messaggio non si
può prevedere se altri utenti si aggiungeranno a quelli
già iscritti (quindi ci sono dei destinatari non
identificati al momento della trasmissione). Inoltre la
previsione di un solo tipo di trattamento semplifica un
po' gli adempimenti.
Come abbiamo visto nella prima
parte di questa
trattazione, il fornitore di accessi può essere
coinvolto a diverso titolo nella diffusione di dati
personali. Prima di tutto può essere titolare
del trattamento, nel caso in cui sia anche fornitore di
contenuti e in questi contenuti siano presenti dati
personali. In questo caso dovrà indicare il trattamento
nella notificazione.
Nel caso invece in cui
operi come fornitore di hosting, cioè ospiti
nel suo sistema contenuti immessi da altri in seguito a
un apposito contratto, deve essere considerato
incaricato del trattamento e dovrà quindi
ricevere istruzioni dal titolare (cioè il fornitore di
informazioni) o dal responsabile del trattamento
designato dal titolare.
Si pone ora il problema di decidere se la natura
dell'incaricato vada indicata al punto 3. del
quadro g), dove si parla di "persone
fisiche e giuridiche preposte ai trattamenti... (anche se
a cura di responsabili esterni)", dove il termine
"preposte" è ambiguo: per l'articolo 2, comma
2, lettera e) "preposto" è il responsabile
del trattamento, mentre qui si distingue tra
"preposto" e "responsabile". Si deve
intendere che il "preposto" è l'incaricato del
trattamento? Allora perché non hanno scritto
"incaricate"?
Per fortuna la compilazione di questo quadro, che con
involontario umorismo si intitola "notizie volte a
facilitare i rapporti con il Garante" è
facoltativa...
In molti casi il fornitore
di hosting potrebbe essere nominato responsabile
del trattamento: le sue generalità
dovranno quindi essere riportate nel quadro f)
della notificazione presentata da titolare e dovrà
sottoscrivere la notificazione stessa nel quadro
h).
Più semplice è il caso
in cui il provider sia fornitore di housing: il
titolare dovrà indicare nel quadro b) l'indirizzo
della sede in cui è installato il sistema. Le istruzioni
del modulo specificano che si deve indicare il luogo in
cui sono ubicate le memorie e non quello in cui sono
ubicati i terminali.
Resta l'ultimo aspetto,
quello dei dati personali eventualmente immessi dagli
utenti negli spazi messi a disposizione in forza del
contratto di abbonamento. Ne abbiamo già parlato nella
prima parte: il problema resta aperto.
(M.C.)
|
Pagina stampabile
